Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: 1.1.15 - картинки.

To: nginx-ru@xxxxxxxxx
Subject: Re: 1.1.15 - картинки.
From: Валентин Бартенев <ne@xxxxxxxx>
Date: Mon, 20 Feb 2012 18:17:41 +0400
Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=vbart.ru; s=mail; h=Content-Transfer-Encoding:Content-Type:Message-Id:MIME-Version:In-Reply-To:References:Date:Subject:To:From; bh=fdhGzPvdmq60sCyRovb6AKTsPszztvjWq5Saj6Aa5Fs=; b=RJZZFP7DC1dXkRz/xsdFqDbTQSSUNhVKFXpGtPYZuYkVuXn/Y34Rjxfb+0iJeDjeNlrwwfYwb2P92Ethhlcf7a0KZOuWb/p3jLF6UWtNcr6JUVh/lzWGvm1qNC1HjeaErtpb2ZsQuFnOB9stY1wIfMTx9LnqcsFyIKaHaOmZiXNdheWLqBW1Qj2t/+HQpQ3sZu3x/758g4y8/xoMBpLwKWNWDbSDaa8y6WekXVNas9QNqLyQvRqCr5QfVKK+CDZzPoHkf3wsrkGCtl73aawwZSeZmtWWAsnFC83vI0T9GrWHFq8+/kBMCXTpU0SoqUPO/H+uhj1HZskQ5N0kyc+NVg==;
In-reply-to: <961f6bef11bc30fa876b09c69d161251.NginxMailingListRussian@forum.nginx.org>
References: <201202201150.06168.ne@vbart.ru> <961f6bef11bc30fa876b09c69d161251.NginxMailingListRussian@forum.nginx.org>

On Monday 20 February 2012 16:35:12 mgnhost wrote:
[...]
> 
> А почему бы не проверять симлинки
> только в директории, которая указана в
> root и ниже, а вышележащии директории не
> проверять?

root может быть задан переменными, не для всех директив используется, и ещё 
множество тонкостей из-за которых было решено отказаться от такого подхода.

И кто помешает пользователю поставить симлинк где-то на пути root-а? У вас 
всегда 
директива root указывает только /home/username/ и не дальше?

> По поводу безопасности Вы очень сильно
> ошибаетесь, особенно в условиях шаред
> хостинга.

Можно пример, чем вам грозит +r для юзера от которого работает nginx? А 
главное, 
почему это грозит больше, чем симлинки?

> 
> P.S. А когда ждать патч то?
> 

Когда будет готов и оттестирован. С O_PATH также не будет работать 
if_not_owner, 
поэтому использования этого флага под вопросом.

--
Валентин Бартенев
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: 1.1.15 - картинки.
  - From: mgnhost

References:
- Re: 1.1.15 - картинки.
  - From: Валентин Бартенев
- Re: 1.1.15 - картинки.
  - From: mgnhost

Prev by Date: Re: 1.1.15 - картинки.
Next by Date: Что насчёт добавления модуля tcp proxy (позволяющий проксировать в том числе и WebSockets) в список официальных?
Previous by thread: Re: 1.1.15 - картинки.
Next by thread: Re: 1.1.15 - картинки.
Index(es):
- Date
- Thread